Читать книгу IT-Sicherheit für Dummies - Rainer W. Gerling - Страница 35

Erstaunlicherweise finden Sie eine in diesem Sinne nahezu vollständige Definition der IT-Sicherheit in einem deutschen Gesetz, dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik, oder kurz BSI-Gesetz. Das BSI ist die Behörde in Deutschland, die sich um die Informationssicherheit im Regierungsnetz und im Bereich der kritischen Infrastruktur (kurz KRITIS, siehe Kapitel 6, Abschnitt BSI-Gesetz) sowie generell um die Förderung der Informationssicherheit kümmert.

Im BSI-Gesetz finden wir die nachfolgende Definition der IT-Sicherheit (in der folgenden Definition sind die Satznummern angegeben, damit Sie sich leichter tun, wenn wir uns auf die Sätze beziehen):

»Informationen sowie informationsverarbeitende Systeme, Komponenten und Prozesse sind besonders schützenswert. Der Zugriff auf diese darf ausschließlich durch autorisierte Personen oder Programme erfolgen. Die Sicherheit in der Informationstechnik und der damit verbundene Schutz von Informationen und informationsverarbeitenden Systemen vor Angriffen und unautorisierten Zugriffen im Sinne dieses Gesetzes erfordert die Einhaltung bestimmter Sicherheitsstandards zur Gewährleistung der informationstechnischen Grundwerte und Schutzziele.

Sicherheit in der Informationstechnik … bedeutet die Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Integrität oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen

1. in informationstechnischen Systemen, Komponenten oder Prozessen oder

2. bei der Anwendung von informationstechnischen Systemen, Komponenten oder Prozessen.«

§ 2 Abs. 2 BSI-Gesetz (BGBl. I S. 2821, zuletzt geändert durch Art. 1 des Gesetzes vom 18. Mai 2021 (BGBl. I S. 1122)

Die Gültigkeit dieser Definition in Satz 4 ist auf den Geltungsbereich des BSI-Gesetzes eingeschränkt. Diese Einschränkung haben wir weggelassen und durch »…« ersetzt. Ohne diese Einschränkung wäre das eine allgemeine rechtliche Definition der IT-Sicherheit. Lassen Sie uns diese Definition nun interpretieren, um sie im Detail zu verstehen.

Die Sätze 1 bis 3 wurden erst 2021 durch das sogenannte IT-Sicherheitsgesetz 2.0 zur Erläuterung in das BSI-Gesetz eingefügt, »um den Inhalt der Schutzziele der Informationssicherheit näher zu bestimmen«. So finden Sie die Begründung der Ergänzung in der Bundestagsdrucksache. Sie müssen nicht nur die Informationen schützen, sondern auch die informationsverarbeitenden Systeme.

Informationstechnische Systeme sind technische Anlagen, »die der Informationsverarbeitung dienen und eine abgeschlossene Funktionseinheit bilden. Typische IT-Systeme sind Server, Clients, Einzelplatzcomputer, Mobiltelefone, Router, Switches und Sicherheitsgateways.« [BMI16]

Satz 2 fordert, dass nur berechtige Personen und Programme auf die Informationen zugreifen dürfen. Dass unberechtigte Personen nicht zugreifen dürfen, ist Ihnen sofort klar. Aber eine Schadsoftware ist keine unberechtigte Person, sondern ein unberechtigtes Programm und darf auch nicht auf die Informationen zugreifen. Diese Klarstellung in Satz 2 ist nachvollziehbar und sinnvoll.

Satz 3 geht vom Schutz vor Angriffen und unberechtigten Zugriffen aus. Die Definition greift dabei zu kurz, da sie nur auf den Schutz vor Angriffen (beabsichtigte Störungen, englisch security) abzielt und die unbeabsichtigten Störungen (englisch safety) außen vor lässt. Dabei müssen Sie in einem umfassenden Informationssicherheitskonzept auch den Schutz vor Störungen durch Naturgewalten und Unfälle (zum Beispiel Brand im Rechenzentrum, Stromausfall, Hochwasser) berücksichtigen. Ihnen kann es als Nutzerin egal sein, ob Ihr Internetzugang im Home Office wegen eines Hackerangriffs auf den Provider oder wegen eines Stromausfalls beim Provider ausgefallen ist. In beiden Fällen können Sie nicht arbeiten.

In der IT-Sicherheit müssen Sicherheitsstandards eingehalten werden, das heißt, ohne Sicherheitsstandards, also ohne Vorgaben, gibt es keine Informationssicherheit. Durch die Sicherheitsstandards wird der Soll-Zustand vorgegeben. Abweichungen des Ist-Zustands vom Soll-Zustand werden als Sicherheitsvorfälle bezeichnet. Der Begriff Standard ist hier nicht nur im Sinne von ISO-Standards, DIN-Normen oder BSI-Grundschutz zu verstehen. Jede Passwortrichtlinie und jede Nutzerordnung in Ihrem Unternehmen oder Ihrer Behörde ist ein interner Sicherheitsstandard im Sinne einer solchen Vorgabe.

Laut Satz 4 sollen Sicherheitsmaßnahmen in den Systemen (Nummer 1) und bei der Nutzung der Systeme (Nummer 2) getroffen werden. Lassen Sie uns das an einem einfachen, analogen Beispiel verdeutlichen. Stellen Sie sich ein Bürogebäude vor, in dem die Türen keine Schlösser haben. Die Türen stehen ständig offen und die auf den Schreibtischen liegenden Dokumente sind dem Zugriff Unbefugter ausgesetzt, wenn ein Beschäftigter das Büro verlassen hat. Die Unternehmensleitung möchte die Sicherheit erhöhen und lässt deswegen Schlösser in die Türen einbauen. Das Ergebnis ist aber, dass trotz eingebauter Schlösser die Türen ständig offenstehen. Daraufhin erlässt die Unternehmensleitung eine Dienstanweisung, dass beim Verlassen des Büros die Bürotür abgeschlossen werden muss. Die technische Maßnahme »Schloss« allein löste das Problem nicht. Erst die ergänzende organisatorische Maßnahme »Dienstanweisung« über den Umgang mit dem Schloss schafft den gewünschten Erfolg. Da sich nicht alle Beschäftigten zu 100 Prozent an die Dienstanweisung halten, müssen zusätzlich regelmäßige Kontrollen die Regeleinhaltung sicherstellen.

Entsprechendes gilt auch in der digitalen Welt. Es ist zum Beispiel nicht hinreichend, wenn Sie ein Betriebssystem einsetzen, das eine Anmeldung mit Benutzername und Passwort ermöglicht. Es sind auch verbindliche Regeln (typisch Passwort-Policy oder Passwortrichtlinie) im Unternehmen erforderlich, die einen vernünftigen Umgang mit Passwörtern vorgeben, etwas in puncto Mindestlänge, Komplexität und Wechselhäufigkeit. Hand aufs Herz: Nutzen Sie bei allen Ihren Rechnern ein sicheres Passwort?

In der Definition lesen Sie auch erstmals die Begriffe »Verfügbarkeit, Integrität oder Vertraulichkeit« als etwas, das Sie sicherstellen müssen. Diese Begriffe, die auch Schutzziele genannt werden, müssen wir uns im weiteren Verlauf dieses Kapitels noch genauer anschauen.

Nicht nur der deutsche Gesetzgeber definiert Informationssicherheit, sondern auch der europäische. 2016 trat die Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union, kurz NIS-Richtlinie, in Kraft (siehe Kapitel 6). Auch hier finden Sie in Artikel 4 eine Definition der »Sicherheit von Netz- und Informationssystemen«.

»›Sicherheit von Netz- und Informationssystemen‹ [ist] die Fähigkeit von Netz- und Informationssystemen, auf einem bestimmten Vertrauensniveau alle Angriffe abzuwehren, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter oder übermittelter oder verarbeiteter Daten oder entsprechender Dienste, die über diese Netz- und Informationssysteme angeboten werden beziehungsweise zugänglich sind, beeinträchtigen; «

Art. 4 Nr. 2 NIS-Richtlinie, ABl. L 194 vom 19.7.2016, S. 1–30

Sie finden hier den zusätzlichen Begriff der »Authentizität« bei den Schutzzielen. Wenn Sie das BSI-Gesetz von Anfang bis Ende lesen, stoßen Sie auf diesen Begriff auch dort in zahlreichen Paragraphen (genauer in den Paragraphen 2, 8a, 8b und 8f). Diese Absätze wurden allerdings alle erst nachträglich in das BSI-Gesetz eingefügt. Hier sehen Sie, wie ein Begriff aus der europäischen Gesetzgebung dann bei der Anpassung der deutschen Gesetze an die europäischen Vorgaben in den deutschen Gesetzen auftaucht.

In der NIS-Richtlinie finden Sie eine Definition der Sicherheit als Fähigkeit von Systemen, Angriffe auf Daten, Dienste und Systeme abzuwehren. In dieser Definition fehlt Schutz vor Störungen durch Naturgewalten und Unfälle vollständig. Die NIS-Richtlinie regelt den Bereich der sogenannten »kritischen Infrastruktur«, also den Bereich, der bei einem Ausfall unser gesellschaftliches Leben erheblich beeinträchtigen kann. Darüber hinaus sind dort auch die digitalen Dienste, das sind Online-Suchmaschinen, Online-Marktplätze und Cloud-Computing-Dienste, geregelt. Gerade bei der kritischen Infrastruktur ist der Schutz vor den Auswirkungen von Katastrophen extrem relevant.